1、SCTP 协议分析算法1. 丢包:1) 首先确定指定方向报文的流向。2) 遍历该单向报文,如果满足:SCTP 序号(DATA 数据块的 TSN)逆向跳变、IPID 正向增加,也就是发生了重传的条件下,查看上游是否能找到相同的 SCTP 序号的报文。如果找到,说明抓包点下游丢包,认为是重传;如果抓包点之前查询未找到相同序号的报文,说明在上游丢包,这种情况下认为是丢包。3) 当前向查找没有找到相同序号报文时,记录该丢失的报文信息。2. 重传:1) 先确定报文的流向。统计该方向报文的个数。2) 遍历该单向报文,如果 SCTP 序号减小、IPID 正向增加,在向前或向后查找时找到相同序号的报文,此时说
2、明报文发生了重传。查找的范围是以当前遍历的报文为基准,向前或向后查找 2000 个数据包。为了提高查找效率,在查找的过程中,由于先前丢包导致了重传,在确定丢包点的位置时,就不用再向前遍历。考虑两种情况:a. 当查找的报文序号出现间断,且间断序号是重传的报文序号时,间断点之前相邻的报文是TSN 序号正常连续增大的报文,未发生重传,该位置是丢包点,则此次遍历结束;b. 间断点之前的报文也发生了重传,为非正常报文,说明该间断点还不是真正的丢包点,仍要向前查找,直到满足 a 条件为止。3) 把遍历查找到重传包和 SACK 中 duplicate 的重传包求并集,即是所有重传包。4) 找到相同序号报文时
3、记录重传报文信息,同时统计重传报文的个数。3. 乱序:1) 单方向考察报文,统计该方向报文个数。2) 遍历该单方向报文,两两比较,如果 SCTP 序号减小、 IPID 也减小,说明该报文发生了乱序,正常报文是 SCTP 序号连续增大, IPID 也增大。发现乱序时记录该乱序报文。3) 置换该相邻乱序包,继续下一次两两比较。4. 时延抖动:1) 单方向考察报文,统计该方向报文个数。2) 遍历该单向报文,确定是否是 DATA 数据块,如是 DATA,根据五元组(源 IP、目的 IP、源端口、目的端口、DSCP)查找与之对应的 SACK,找到这样的 DATA 和 SACK 时,计算两者的时间差,DA
4、TA 和 SACK 是源和目的相反的。记录时延信息。5. 校验和:分为 IP 头校验和 SCTP 校验,由于预处理时已经计算了校验和,只需判断即可。如果校验和判断数据包有错,记录该数据包。统计总的错包数量。6. 分片:根据SCTP协议的B比特和E比特来判断:B比特分段开始比特。如果该比特被设置,则指示这是用户消息的第一个分段。E比特 分段结束比特。如果该比特被设置,则指示这是用户消息的最后一个分段。10 用户消息的第一个分段00 用户消息的中间分段11 用户消息的最后一个分段7. 接收时间窗:根据SCTP协议SACK 数据块中的 a_rwind字段。8. 流量:单向遍历报文,分别计算每一秒的流量值。与TCP流量算法相同。
